Atelier débat prospectif Fiche de Synthèse

Documents pareils
Identification, évaluation et gestion des incidents

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Le management des risques de l entreprise Cadre de Référence. Synthèse

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Améliorer l efficacité de votre fonction RH

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

L actuariat et les nouveaux horizons de l assurance en Afrique

Gestion des risques, contrôle interne et audit interne

Atelier A6 DECROISSANCE DES FOURNISSEURS, COMMENT SE PREMUNIR, SE PROTEGER DE LEURS DEFAILLANCES

HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT. 8 modules de management intégrés.

Le Data Risk Center. Plateforme de pilotage et de gestion des risques Pilier I de la directive Solvabilité II

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Journées d études IARD

L ORSA : quelles conséquences sur le pilotage stratégique de l entreprise?

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gender Directive Impacts opérationnels pour les assureurs

Systèmes et réseaux d information et de communication

Le 360 T&I Evaluations

Présentation à l EIFR. 25 mars 2014

LE TABLEAU DE BORD DE SUIVI DE L ACTIVITE

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

le management de la continuité d activité

ITIL V3. Transition des services : Principes et politiques

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

Comment piloter une entreprise d assurance IARD sous Solvabilité II?

Le partenaire des directions financières

La RSE au service de la stratégie de l entreprise et de la création de valeur

L'AUDIT DES SYSTEMES D'INFORMATION

Surabondance d information

Module 1 : Les fondamentaux de l'assurance / Durée : 1,5 jour

A. Le contrôle continu

Quels liens entre les modèles et la réalité? Mathilde Jung Université d été / Lundi 9 Juillet 2012 AG2R LA MONDIALE

MESURE DE L ÉNERGIE ET DES FLUIDES

Prestations d audit et de conseil 2015

Auditer son environnement Telecom Un des fondements du projet TEM

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

Présentation du cabinet

Accompagnement RH des projets de transformation des organisations

Jean-Francois DECROOCQ - 03/01/2012

La rationalisation Moderniser l organisation pour dynamiser l entreprise

Maîtriser les mutations

Charte de contrôle interne

La plateforme IRM. La maitrise des risques. L accès à la plateforme

L évaluation des résultats

Associations Dossiers pratiques

Comment réussir la mise en place d un ERP?

LA MESURE DES PERFORMANCES DES COMPAGNIES D ASSURANCES

Références. Les contacts Opti-Décision en relation avec cette présentation sont: Johann Grennepois Gérant

III.2 Rapport du Président du Conseil

Présentation du métier d actuaire vie

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Baromètre du Risk Management 2006

France Telecom Orange

Piloter le contrôle permanent

REFERENTIEL Chef(fe) de Projets Marketing et Commercial Titre Bac+4 certifié Niveau II J.O du 09 Août code NSF 312

Ministère de l intérieur

Qu est-ce que la Gestion des Ressources Humaines?

L Application Performance Management pourquoi et pour quoi faire?

Table des matières: Guidelines Fonds de Pensions

Réussir l externalisation de sa consolidation

La pratique. Elaborer un catalogue de services

Sage 100. pour les PME. Faites de votre gestion un levier de performance

La fonction Conformité dans l assurance

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Les risques liés à l activité de l entreprise : quels outils pour les identifier?

JOURNÉE THÉMATIQUE SUR LES RISQUES

LE référentiel des métiers

Avec Sage HR Management, transformez votre gestion du capital humain en atout stratégique

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales.

Modèle de cahier des charges CRM

L AUDIT INTERNE DES COMPAGNIES D ASSURANCES. TRANSVERS CONSULTING L'audit des compagnies d'assurances

COMPTE ÉPARGNE TEMPS Parce que le temps est une vraie valeur

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication

Présentation. Intervenant EURISTIC. Jean-Louis BAUDRAND Directeur associé

Copyright Agirc-Arrco Mars QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

étude de rémunérations

ITIL V2. La gestion des mises en production

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Fonctionnalités HSE PILOT. Groupe QFI

SPECIALISATIONS DU MASTER GRANDE ECOLE

Ce document synthétise les principaux aspects de DayTrader Live, le service le plus haut de gamme de DayByDay.

FICHE TECHNIQUE : METTRE EN PLACE UNE GPEC

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

1. La sécurité applicative

Gestion budgétaire et financière

la conformité LES PRINCIPES D ACTION

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle

FAIRE FACE A UN SINISTRE INFORMATIQUE

Software Asset Management Savoir optimiser vos coûts licensing

QUESTIONS-RÉPONSES : SUJETS ASSURANCE

LA CONDUITE DE L ACTION COMMERCIALE

Enquête communication interne - restitution

Rational Software Rational Portfolio Manager

Transcription:

Atelier débatprospectif FichedeSynthèse Retraitecomplémentaire etprévoyance Lerisque opérationnel 3Octobre2013

LE RISQUE OPERATIONNEL Sommaire INTRODUCTION... 2 PARTIE 1 QU EST-CE QU UN RISQUE OPERATIONNEL?... 2 A. DEFINITION ET PARTICULARITE... 2 B. LES DIFFERENTES CATEGORIES DE RISQUES OPERATIONNELS... 3 C. ANALYSE DU RISQUE: AXES CAUSES ET CONSEQUENCES... 4 D. LES LIENS AVEC LES AUTRES RISQUES ET LA NOTION DE RISQUES FRONTIERES.. 4 PARTIE 2 LES RISQUES OPERATIONNELS POUR UN GROUPE DE PROTECTION SOCIALE 5 A. ASSURANCES DE PERSONNES ET RETRAITE COMPLEMENTAIRE SOUS LES ANGLES RISQUES RARES ET RISQUES DE FREQUENCE... 6 B. L ESPERIENCE MALAKOFF MEDERIC... 7 PARTIE 3 LA MAITRISE DU RISQUE OPERATIONNEL... 8 A. DISPOSITIF CIBLE DE PILOTAGE DES RISQUES OPERATIONNELS... 8 1 LE DISPOSITIF DE RISQUE OPERATIONNEL... 8 2 LA CARTOGRAPHIE DES RISQUES OPEERATIONNELS... 8 3 LA BASE INCIDENT... 9 4 L ANALYSE DES SCENARIOS... 9 5 LES INDICATEURS DE RISQUES... 10 6 LE CONTROLE INTERNE... 10 B. DISPOSITIF DE PILOTAGE DES RISQUES OPERATIONNELS CHEZ MALAKOFF MEDERIC... 11 1 LE DEFIS MAJEURS DE LA MAITRISE DES RISQUES... 12 2 LA CULTURE DES RISQUES... 12 3 UNE QUESTION CLE : QUEL APPETIT POUR LE RISQUE OPERATIONNEL?... 13 C. LES LEVIERS DE MAITRISE DES RISQUES... 13 Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 1

INTRODUCTION La question de la maitrise des risques est aujourd hui une problématique admise par la plupart des directions d entreprises ou d organisations (groupes de protection sociale, sociétés d assurance, etc.). Il s agit maintenant de savoir comment décliner sa mise en application au sein des structures opérationnelles. Le risque opérationnel, bien que piloté en central, reste une partie intégrante du management de proximité. Son identification, son évaluation et sa maitrise doivent se faire en collaboration avec les opérationnels. En effet, c est d autant plus vrai qu aujourd hui les Groupes de Protection Sociale (GPS) ont une activité diversifiée que seule les opérationnels sont capables d appréhender finement. L implication de tous les acteurs de la chaîne des processus est alors une question cruciale. Les Groupes de Protection Sociale doivent donc adopter cette culture de gestion des risques afin de maîtriser les risques. Après avoir défini ce qu est un risque opérationnel et les liens avec l activité d assurance / retraite, nous expliquerons comment le maitriser opérationnellement. PARTIE 1 QU EST-CE QU UN RISQUE OPERATIONNEL? Pour pouvoir identifier et maîtriser ses risques, il est nécessaire de définir dans un premier temps ce qu est un risque opérationnel. A. DEFINITION ET PARTICULARITE L article 13 de la Directive Solvabilité II définit le risque opérationnel comme «le risque de perte résultant de procédures internes, de membres du personnel ou de systèmes inadéquats ou défaillants, ou d'événements extérieurs». Le Risque opérationnel est donc un risque subi, contrairement aux risques métiers et stratégiques. Il est parfois diffus et difficile à appréhender de par la multitude de formes qu il peut endosser. Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 2

B. LES DIFFERENTES CATEGORIES DE RISQUES OPERATIONNELS Le risque opérationnel est le plus souvent appréhender à travers la nomenclature bâloise qui définit 7 types d événements : Fraude interne Pratiques en matière d emploi et de sécurité du travail Clients, produits et pratiques commerciales Interruptions de l activité et dysfonctionnements des systèmes Fraude externe Dommages occasionnés aux actifs physiques Exécution, livraison et gestion des processus Ces 7 familles bâloises représentent le niveau 1 de l arborescence des risques. Leur thématique étant très générique, il faut descendre à un niveau 2 voire 3 afin d adapter ce découpage aux activités spécifiques de chaque entreprise. Certaines familles comme l «Exécution, livraison et gestion des processus» vont contenir un très grand nombre de déclinaisons et donc concentrer un grand nombre de risque. Les familles bâloises servent donc à segmenter les risques mais ne préjuge pas de leur répartition. Quelques exemples Détournements sur prestations (ex : 55 déclarations de paternité) Versements indus (ex : un salarié ne déclarant pas sa reprise du travail) Erreurs de paramétrage, conception ou implémentation de système d informations lié au calcul de primes, de versements ou de calcul de points sur retraites complémentaires Non-respect de la confidentialité (ex : 4 000 adresses mails d'étudiants divulguées) Fraude à l assurance (ex : Des personnes mortes parfois depuis de nombreuses années, dont les décès n'ont pas été déclarés par les familles afin de continuer à percevoir leur pension de retraite) Aujourd hui, un nouveau risque potentiellement très impactant concerne les prestataires. Il est clairement mis en avant par Solvabilité II qui rappelle que l entreprise donneuse d ordre reste porteuse de ces risques. Par ailleurs, la plupart des grands prestataires font eux-mêmes appel à des prestataires. Cette sous-délégation peut représenter un risque de concentration notamment si plusieurs prestataires font appel à un même sous-traitant (ex : incendie dans un centre d hébergement où plusieurs prestataires d une même entreprise ont confiés les données de différents département de cette entreprise). Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 3

C. ANALYSE DU RISQUE: AXES CAUSES ET CONSEQUENCES La manifestation d un risque, l évènement, est précédée par une ou des causes et suivie par une ou des conséquences. Ainsi, l adoption d une logique causale permet d identifier le fait générateur, la cause première, de définir les éléments de pertes, i.e. les conséquences, ainsi que les éléments susceptibles d amplifier soit les causes soit les conséquences. L analyse du risque est un exercice délicat car elle nécessite des discussions approfondies avec les opérationnels afin de remonter le plus en amont possible dans la recherche de causalité. Cette étude permet en remontant à la cause première, d élaborer des dispositifs de maitrises des risques afin d absorber ou de limiter les impacts. Aussi, si la cause n est pas maitrisable (ex : crue de la Seine) il sera possible de pallier cette fatalité par la mise en place d un Plan de Continuité d Activité (PCA). Idéalement, pour avoir une bonne maîtrise des risques, il faut systématiser les analyses très en amont des projets quel que soit le type de projet (SI, réorganisation, restructuration). Il faut avoir le courage de regarder et d anticiper les risques pour pouvoir en évaluer les impacts. Ainsi, en plus des indicateurs de ROI, l analyse du risque permet aux décisionnaires d être attentifs aux risques (financiers, image, sociale, qualité ) dans leurs prises de décision. D. LES LIENS AVEC LES AUTRES RISQUES ET LA NOTION DE RISQUES FRONTIERES Les risques générés par les activités d assurance sont de plusieurs types Il peut exister une interaction entre le risque opérationnel et les risques métiers/activités. En effet, certains risques liés au métier peuvent être associés au risque opérationnel, lié à l activité de production et ainsi amplifier les impacts en cas de survenance de l évènement. Ces risques sont qualifiés de «risques frontières». Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 4

Quelques exemples Association risque opérationnel / risques de marché : o Dissimulation intentionnelle d opérations de trésorerie o Défaut d information des assurés sur des produits d épargne (art. 83 multi-support) o Erreurs ou retard lors de la saisie d un ordre sur des placements o Dysfonctionnements des systèmes d informations de suivi des placements Association risque opérationnel / risque de souscription des assureurs : o Erreur commise dans le calcul ou la saisie du coefficient de surprime en fonction de la sélection médicale, de l âge du bénéficiaire, o Mauvaise conception, implémentation ou un mauvais paramétrage d un modèle de tarification santé/prévoyance Association risque opérationnel / risque de contrepartie : o Incompréhension sur les termes d un traité de réassurance PARTIE 2 LES RISQUES OPERATIONNELS POUR UN GROUPE DE PROTECTION SOCIALE Les risques de la protection sociale proviennent de la diversité de ses activités (Retraite complémentaire, Santé, Prévoyance, Action sociale, Gestion d actifs et Services), qui engendre des risques opérationnels multiples dont notamment : Risques techniques : o Catastrophe o Biométriques : lié à la longévité et à la mortalité Risques de marché : o Action o Taux Risques opérationnels : o Risque psychosociaux : il agit du risque humain o Externalisation : la sous-traitance à tendance à réduire le risque lié à une activité par l apport d une expertise externe, mais elle va créer également de nouveaux risques. o Non-conformité o Erreur d exécution o Fraude interne et externe o Résidences médico-sociales : cette activité qui n est pas considérée dans la directive Solvabilité 2 représente un risque potentiellement très important car on parle là d un risque mortel, donc humain et non plus pécunier. o Protection des données : cela concerne autant la sauvegarde que la diffusion des données qu elles soient sous format électronique, papier ou autres o Continuité d activité Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 5

Quelques exemples propres aux Groupes de protection sociale Retraite complémentaire : Erreur dans le montant de la prestation retraite versée Santé : Non-conformité du calcul du ticket modérateur qui est la base du remboursement d une visite médicale chez un médecin conventionné Prévoyance : Règlements indus du capital sur la base de faux documents (acte de décès) transmis par le titulaire ou un bénéficiaire Action Sociale : Maladie nosocomiale suite à une négligence du personnel de santé dans un centre de santé, maltraitance dans une maison de retraite Gestion d actifs : Non-respect des limites d investissement dans le cadre de la gestion d actif Services : mauvaise maîtrise des prestations externalisées, cadre juridique non conforme, sécurité de données confidentielles non assurée A. ASSURANCES DE PERSONNES ET RETRAITE COMPLEMENTAIRE SOUS LES ANGLES RISQUES RARES ET RISQUES DE FREQUENCE Les risques opérationnels identifiés, non exhaustifs, permettent de dégager deux grandes familles de risques opérationnels les risques de fréquence à impacts modérés et les risques rares à impacts forts. Les risques de fréquence sont des risques liés aux actions, activités, tâches répétitives dont le volume de réalisation est important. Cela est particulièrement vrai pour le traitement des dossiers d adhésion. Les risques opérationnels de fréquence portant sur ce type d opération sont le plus souvent le risque d erreur, la mauvaise saisie ou l oubli. Les risques de fréquence ont un lien fort avec le contrôle de 1er niveau. Quelques exemples Erreur de saisie lors de modifications apportées au dossier client Erreur de saisie de la date de naissance Les risques rares sont des risques qui possèdent peu ou pas d historique. Ils peuvent être composites, c est-à-dire résultant de la combinaison de plusieurs types de risques, c est le cas des risques frontières Quelques exemples Dépassement de limite d investissement Investissement hors politique de gestion actif/passif sur des produits «actions» par un collaborateur du département gestion d actifs Combiné à une volatilité forte et durable sur les marchés financiers Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 6

ré m a B. L ESPERIENCE MALAKOFF MEDERIC La cartographie des risques se façonne avec toutes les directions porteuses des risques, puis elle est débattue avec la Direction Générale avant d être validée par les administrateurs. Ces derniers sont susceptibles d ajouter des points avant validation (ex : vu le contexte actuelle de crise, le risque de défaillance client dans le paiement des primes peut représenter un risque). Les risques de fréquence / impacts modérés Les risques rares / impacts forts Cartographie des risques opérationnels (bottom up) Cartographie des risques majeurs (top down) Processus / référence : Créer un produit en filière standard Description du risque opérationnel Evaluation du risque opérationnel significatif Description du contrôle Etape Rattachement à la nomenclature des risques par CIG risque significatif Description du risque d'étape Référence du Risque Cause de risques Réglementation applicable Référence(s) inter dépendance Date évaluation du risque Fréquence Impact financier Impact image Impact légal, réglementaire Synthèse impacts Criticité du Référence du Commentaire risque risque contrôle Description du contrôle Commentaires éventuels Systèmes d'information Manuel, mixte, automatique atique Fréquence Nom et fonction du responsable du contrôle Identifier le besoin 2 Inadéquation du produit par rapport aux attentes client 11/02/11 1 1 1 1 1 faible OFR-A-017/ Réunion du Groupe Miroir : compte rendu sur adéquation de Groupe Miroir : panel représentatif collectif C-01 l'offre / client et au réseau et individuel des commerciaux et Mesure de l'offre directement dans les BU. plateformes MA Chef marché/produit en charge de la création du produit 2 Retard sur la mise en marché d'une nouvelle offre 03/05/11 1 2 3 1 3 modéré OFR-A-017/ Benchmark sur l'offre concurentielle / garanties : rapport du Dispositif de veille concurrentielle : projet C-02 benchmark. prévu en 2012 par la Direction Exploitation d'études : résultats dans la Fiche produit V0. Etudes&Veille Groupe (veille automatique) Veille concurrentielle : nouveau dispositif de veille prévu pour 2012. MA Chef marché/produit en charge de la création du produit Faire une étude préalable 2 Mauvaise analyse des conditions d'entrée du marché 03/05/11 1 3 3 1 3 modéré OFR-A-017/ Conditions d'accessibilité au marché définies dans la Fiche C-03 produite V0. MA Chef marché/produit en charge de la création du produit Concevoir l'offre 2 Tarification erronée 03/05/11 1 3 1 1 3 modéré OFR-A-017/ Benchmark tarifaire, expérience des équipes commerciales et C-04 test de restriction de la souscription restitués dans Fiche produit V1. Chef marché/produit en charge de la création du produit Concevoir l'offre détaillée 2 Dispositif de liquidation des prestations santé et prévoyance non disponible en gestion (SI + processus) 03/05/11 1 2 3 2 3 modéré Du à un décalage entre mise OFR-A-017/ Demande d'engagement sur date de mise en gestion et en marché et mise en gestion C-05 définition d'un plan de secours fournis dans la Fiche du projet. MA Chef de projet affecté au projet de création d'une nouvelle offre 3 non respect de la réglementation 03/05/11 2 2 2 2 2 modéré OFR-A-017/ Comité de Produits avec intervention d'experts de la Dir C-06 Juridique et de la Dir Souscription : avis juridique et sur la souscription fournis dans le compte rendu du Comité. MA Chef de projet affecté au projet de création d'une nouvelle offre Choix du non respect d'une recommandation juridique du à un potentiel de développement Référentiel Groupe de 174 processus Env. 80 processus déjà documentés Env. 360 risques identifiés Rattachement à une nomenclature de risques à 3 niveaux liens avec les risques majeurs 19 risques majeurs identifiés parmi env. 100 risques prioritaires Impacts : image (y compris client), réglementaire, financier Inhérents + conjoncturels Tendance : SI, protection de la clientèle, réglementaire Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 7

PARTIE 3 LA MAITRISE DU RISQUE OPERATIONNEL A. DISPOSITIF CIBLE DE PILOTAGE DES RISQUES OPERATIONNELS 1 LE DISPOSITIF DE RISQUE OPERATIONNEL Le dispositif de risque opérationnel doit permettre la détection le plus tôt possible des risques et incidents de nature opérationnelle pouvant avoir des conséquences financières ou d image. Il doit permettre d analyser et d apprécier le plus précisément possible les impacts de ces risques. De plus, le dispositif doit pouvoir alerter et mobiliser les principaux responsables concernés par les risques, qu ils en soient à l origine ou qu ils en subissent les conséquences. Aussi, il doit permettre de définir les plans d actions nécessaires y compris en termes d instruments de financement du risque. Enfin, il doit disposer d outils de pilotage à destination du Directoire, des Directions et des différentes parties prenantes du dispositif. Le point primordial est que ce dispositif doit avant tout reposer sur un réseau de correspondants capables de servir de relais d informations et également d alerter et de gérer les incidents. En contrepartie, ces correspondants risque doivent également être alimentés en informations et disposer d un retour sur investissement via des reportings. L important est que toute l entreprise soit «innervée» par une filière risque opérationnel pour assurer une analyse fine des risques et une réactivité forte face aux incidents. Concrètement, pour élaborer un dispositif de risque opérationnel adapté aux enjeux de l organisation, il faut que celui-ci se nourrisse des situations et évènements passés que ce soit ceux vécues par l entreprise (base incidents) ou ceux connus et qui se sont produits dans d autres entreprises. Mais aussi prendre la mesure de la situation actuelle et de l environnement de l entreprise en appréhendant le contour du profil de risque (cartographie des risques), en déterminer le contrôle permanent en place (contrôle interne) et en définissant des éléments permettant de surveiller et/ou d être alerté en temps et en heure sur la modification du profil de risque de l entreprise (indicateurs). Enfin, le dispositif cible doit permettre de se projeter également sur des évènements rares qui sont le plus souvent des risques majeurs (analyse de scénarios). La logique Enterprise Risque Management (ERM) doit être appliqué pour donner une vue d ensemble et transverse au dispositif. C est pourquoi, il est important que l organisation de la filière risque repose sur des échanges entre les acteurs des risques qualitatifs et quantitatifs mais aussi sur des directeurs capables d animer le dispositif en allant visiter les sites et en discutant avec les manager pour ancrer le dispositif à la réalité. 2 LA CARTOGRAPHIE DES RISQUES OPEERATIONNELS La cartographie des risques opérationnels permet d identifier et recenser les principaux risques, internes ou externes, pouvant avoir un impact sur l atteinte des objectifs fixés. Elle permet aussi Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 8

d évaluer les risques via la prise en compte de leur probabilité d occurrence et de leur gravité potentielle, ainsi que de l environnement et des mesures de maîtrise existantes. C est un outil pour visualiser l exposition aux risques, délimiter les contours du profil de risques et identifier les zones à risque insuffisamment couvertes par le dispositif de maîtrise. Elle permet aussi de comparer et hiérarchiser les risques les uns par rapport aux autres. Ce qui ressort le plus souvent des cartographies* : 3 LA BASE INCIDENT * Schéma volontairement simplifié La base incident possède de multiples avantages à commencer par l identification et la compréhension des incidents qui arrivent le plus souvent à l entreprise dans le but d améliorer sa capacité à évaluer, gérer ou éviter le risque. Elle peut servir de support au processus d évaluation des risques et du dispositif de maîtrise des risques et également satisfaire aux exigences d informations à communiquer au régulateur mais aussi à la Direction. 4 L ANALYSE DES SCENARIOS L analyse des scénarios permet une approche globale de la gestion des risques en prenant en compte des risques pour lesquels il existe peu d historique car le risque semble peu probables mais dont les impacts potentiels sont élevés car souvent transverses. Son but est de permettre d identifier l arbre de défaillance et la chaine causale, comprenant notamment les faiblesses et les facteurs de risques. C est également une attente règlementaire de Solvabilité II dans le cadre de l ORSA d identifier, d évaluer et de suivre les risques majeurs liés à son activité. Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 9

5 LES INDICATEURS DE RISQUES Les indicateurs de risques ont pour objectifs d alerter le management de l entreprise, aux différents niveaux de l organisation sur les évolutions porteuses de risques grâce à une évaluation régulière des améliorations ou des détériorations du profil de risques et de l environnement de prévention et de contrôle. Pour être optimal, des seuils d alerte doivent être déterminés et un suivi régulier doit permettre d anticiper des évolutions porteuses de risques opérationnels et donc de réagir de manière adéquate. En effet, il faut être préparé à agir lorsque ces seuils sont dépassés grâce à la mise en œuvre de plans d actions. Le suivi des indicateurs permet une gestion proactive et prospective des risques opérationnels et également de relever les signaux faibles, parfois annonciateurs d un événement majeur ou simplement d une dégradation du dispositif. 6 LE CONTROLE INTERNE Il existe un lien évident entre la gestion du risque opérationnel et le contrôle interne. En effet, le contrôle interne qui vise à sécuriser l activité d une entreprise, offre une assurance raisonnable quant à la maitrise des risques opérationnels. Pour cela des politiques, procédure et plans de contrôle doivent être mis en place pour s assurer de l atteinte des objectifs. Le contrôle n a d intérêt que si l entreprise est capable d en tirer des conséquences. Par exemple en favorisant les changements demandés par les opérationnel ou en générant une valeur ajoutée à même de favoriser l appropriation du dispositif par les opérationnels. Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 10

B. DISPOSITIF DE PILOTAGE DES RISQUES OPERATIONNELS CHEZ MALAKOFF MEDERIC Vision management Cartographie des risques majeurs Plan d Actions Risques Reporting COMEX Risques opérationnels Cartographies des risques Base incidents Contrôles de 2 ème niveau Risques projets Sécurité Financière Indicateurs de risques Risques de conformité Sécurité des S.I. Vision processus Culture et sensibilisation: com. interne, objectifs managériaux, réseau de contrôleurs Cartographie des risques majeurs Gestion des incidents Contrôles de 2 ème niveau Impacts projets sur les Risques DISPOSITIF Approche top down par les principaux directeurs du groupe (env. 25) Identification d env. 100 risques significatifs Sélection en Comité des Risques des 15 à 20 risques majeurs Définition d un Plan d Actions Risque annuel piloté en COMEX Priorité donnée aux dysfonctionnements immédiats Focus sur les incidents les plus critiques Nécessité pour la direction des risques de jouer un rôle d accompagnement opérationnel Pilotage mensuel des plans d actions correctifs / préventifs Approche bottom up via un programme de refonte des processus Identification des risques et des contrôles clés Capitalisation sur un réseau d adjoins de contrôle interne Autoévaluation annuelle Campagnes ciblées de contrôles de 2 ème niveau Concerne uniquement les projets «sensibles» Analyse les impacts des projets sur les risques et le dispositif de contrôle Renforce la qualité des livrables des projets S intègre à la structure projet et s appuie sur les ACI ENJEUX Développement d une approche quantitative Qualification / priorisation des actions Intégration dans le plan stratégique et budgétaire Changement culturel (transparence) Quantification des pertes opérationnelles Outil et workflow Granularité du dispositif Acculturation par les managers Charge potentielle valeur ajoutée «Buy-in» du management Minimisation des impacts négatifs et des nouveaux risques Alerte rapide en cas d anticipation de risques accrus Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 11

Nota : A la question de savoir à quoi cela sert de quantifier les risques, les deux principales réponses ont été : A ajuster les fonds propres en prévision des risques potentiels A prioriser les actions et les périmètres où il est nécessaire d investir 1 LE DEFIS MAJEURS DE LA MAITRISE DES RISQUES Dès lors, les défis majeurs de la maîtrise des risques concernent L identification Quels mécanismes mettre en place pour identifier les risques? Incidents, cartographies, référentiels, veille, risques émergents La priorisation Comment prioriser le traitement des risques? Rapport coût / bénéfice? Quantification des risques, modélisation, scénario L assurance Quelle garantie d efficacité pour le dispositif de contrôle / maîtrise? Contrôles de 2ème niveau (autoévaluation, testing), audit interne La culture Comment diffuser une culture de gestion des risques? Objectifs annuels, rémunération, formation 2 LA CULTURE DES RISQUES Le socle essentiel pour maîtriser les risques vient du fait que chaque opérationnel, chaque responsable et chaque membre de la direction soit éveillé au risque. Une gouvernance des risques solide Impulsion de la direction générale Prise en compte des valeurs éthiques Alignement des objectifs RH Des rôles et responsabilités clairement définis Des échanges de vues contradictoires favorisés Culture des risques Une information transparente et fluide Une fonction Risques encouragée Valorisation des comportements vertueux Une culture du contrôle et de la documentation Des processus et organisations simples / fluides Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 12

3 UNE QUESTION CLE : QUEL APPETIT POUR LE RISQUE OPERATIONNEL? C est une question qui peut trouver sa réponse dans des cadres normatifs comme le COSO2 ou réglementaire comme Solvabilité 2 mais cette appétit au risque doit avant tout être déterminé par rapport au référentiel métier de l entreprise. A partir de là, les risques métiers (assurantiels ou financiers) peuvent faire l objet d une prise de décision sur leur «juste» niveau, au regard de la stratégie de l entreprise. En revanche, peut-on avoir un appétit pour le risque opérationnel? Autrement dit, est-il possible de fixer un seuil de fraude acceptable par exemple ou un temps d interruption de l activité? La réponse est oui et la mise en œuvre du dispositif de maitrise des risques dépend de l investissement que l entreprise est prête à mettre pour limiter ces risques opérationnels et donc diminuer le seuil au minimum. D autres exemples Coût d opportunité face à un nouveau business vs. un cadre juridique peu clair Niveau de franchise dans les contrats d assurance Type d assurances (ex. cybercriminalité) Nombre de collaborateurs en charge d activité de contrôles Coût de la sécurité SI et délais de mise en œuvre C. LES LEVIERS DE MAITRISE DES RISQUES Plusieurs stratégies s offrent aux propriétaires des risques pour appréhender les risques opérationnels quels qu ils soient. La détermination de l attitude à avoir face aux risques nécessite la définition, même non encore formalisée, de l appétence au risque. Il existe 4 types de réponses face aux risques : Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back